シャドーITとは

シャドーITの例としては、個人のクラウド・ストレージ・アカウントで仕事用ファイルを共有したり、会社が別の承認済みサービスを利用しているときに無許可のビデオ会議プラットフォームを介して会議を開いたり、IT部門の承認なしに非公式のグループ・チャットを作成したりなどが挙げられます。

シャドーITには、ハッカーによって仕掛けられたマルウェアやその他の悪意のある資産は含まれません。これは、ネットワークの承認されたエンドユーザーによって展開された未承認の資産のみを指します。

エンドユーザーやチームがシャドーITを採用する主な理由は、IT部門の承認を待たずに使用を開始できるため、または他のIT部門が提供する機能よりもシャドーITのほうが目的に適した機能を備えていると感じるためです。しかし、こうしたメリットがあるとはいえ、シャドーIT は重大なセキュリティー・リスクをもたらす可能性があります。IT チームがシャドーITを認識していないため、それらの資産の監視や脆弱性の対処もありません。シャドーITは、特にハッカーに容易に悪用されます。

Cisco社によれば、企業の従業員の80%がシャドーITを使用しています。個々の従業員は、利便性と生産性のためにシャドーITを採用することが多く、会社が認可したITではなく、個人のデバイスと好みのソフトウェアを使用した方が効率的または効果的に作業できると感じています。IBM Institute for Business Valueが引用した別の調査によると、従業員の41%がIT/ISチームの知らないうちにテクノロジーを取得、変更、または作成しました。

これは、ITの消費者化と、最近ではリモートワークの増加によってさらに増加しています。SaaS（サービスとしてのソフトウェア）を使用すると、クレジットカードと最低限の技術的知識があれば、誰でも共同作業やプロジェクト管理、コンテンツ作成などのための高度なITシステムを導入できます。組織の個人所有デバイスの業務使用（BYOD）により、従業員は企業ネットワーク上で自分のコンピューターやモバイル・デバイスを使用できます。しかし、正式なBYODプログラムが導入されている場合でも、ITチームは従業員がBYODハードウェアで使用するソフトウェアやサービスを把握できないことが多く、従業員の個人用デバイスにITセキュリティー・ポリシーを適用することが困難な場合があります。

しかし、シャドーITは必ずしも従業員が単独で行動した結果とは限りません。シャドーITアプリケーションはチームでも採用されています。Gartner社によると、テクノロジー関連の購入の38%は、IT部門ではなくビジネス・リーダーによって管理・定義・制御されています。チームは新しいクラウド・サービスやSaaSアプリケーション、その他の情報テクノロジーを導入したいと考えていますが、IT部門やCIOが実施する調達プロセスは負担が大きすぎるか、または時間がかかると感じることがよくあります。そのため、従業員たちは望ましい新しいテクノロジーを手に入れるためにIT部門を避けてしまうのです。たとえば、ソフトウェア開発チームは、正式な承認プロセスにより開発が遅れ、市場機会を逃してしまう可能性があるため、IT部門に相談せずに新しい統合開発環境を導入することがあり得ます。

認可されていないサードパーティーのソフトウェアやアプリ、サービスは、おそらくシャドーITの最も蔓延した形態です。一般的な例は次のとおりです。

• TrelloやAsanaなどの生産性向上アプリ
  

• Dropbox、Google Docs、Google Drive、Microsoft OneDriveなどのクラウド・ストレージやファイル共有、ドキュメント編集アプリケーション
  

• Skype、Slack、WhatsApp、Zoom、Signal、Telegram、個人のEメール・アカウントなどの通信およびメッセージング・アプリ

これらのクラウド・サービスやSaaS製品は、多くの場合、アクセスが簡単で直感的に使用でき、無料または非常に低コストで利用できるため、チームが必要に応じて迅速に導入できます。多くの場合、従業員はこれらのシャドーITアプリケーションを私生活ですでに使用しているため、職場に持ち込みます。従業員は、顧客やパートナーまたはサービス・プロバイダーからこれらのサービスの使用を招待される場合もあります。例えば、従業員がクライアントの生産性向上アプリに参加してプロジェクトで共同作業することは珍しいことではありません。

従業員の個人用デバイス（スマートフォン、ノートPC、USBドライブや外付けハードドライブなどのストレージ・デバイス）も、シャドーITの一般的なものです。従業員は、デバイスを使用してネットワーク・リソースにリモートでアクセスし、保存または送信することも、正式なBYODプログラムの一部としてオンプレミスで使用することもできます。いずれにせよ、IT部門が従来の資産管理システムでこれらのデバイスを検出・監視・管理することは困難なことがよくあります。

従業員は通常、メリットがあると判断してシャドーITを導入しますが、シャドーIT資産は組織に潜在的なセキュリティー・リスクをもたらします。それらのリスクには次のようなものがあります。

ITチームは一般に特定のシャドーIT資産を認識していないため、これらの資産のセキュリティーの脆弱性には対処できません。エンドユーザーや部門チームは、これらの資産に対する更新・パッチ適用・構成・権限および重要なセキュリティーと規制管理の重要性を理解していない可能性があり、組織の危険に対する曝露状況がさらに悪化します。

機微データは、セキュリティーで保護されていないシャドーITデバイスやアプリに保管されたり、これらのデバイスやアプリを介してアクセスされたり、送信されたりする可能性があり、企業はデータ侵害や漏洩のリスクにさらされます。シャドーITアプリケーションに保管されたデータは、公式に認可されたITリソースのバックアップ中に捕捉されないため、データが損失した場合、情報の回復が困難になります。また、シャドーITはデータの不整合を引き起こす可能性もあります。一元管理が行われずにデータが複数のシャドーIT資産に分散している場合、従業員は非公式な情報や無効になったまたは古い情報を使用して作業する可能性があります。

医療保険の相互運用性と説明責任に関する法律を始め、ペイメントカード業界のデータセキュリティー基準や一般データ保護規則などの規制には、個人を特定できる情報の処理に関する厳しい要件があります。コンプライアンスの専門知識を持たない従業員や部門によって立ち上げられたシャドーITソリューションは、これらのデータ・セキュリティー基準を満たさず、罰金や組織に対する法的措置につながるおそれがあります。

シャドーITアプリケーションは、認可されたITインフラと簡単に統合できないことがあり、共有情報や資産に依拠するワークフローを妨げるおそれがあります。ITチームが新しい認可対象資産を導入する際や、特定の部門にITインフラをプロビジョニングする際に、シャドーITリソースを考慮する可能性は低いです。その結果、IT部門は、ネットワークまたはネットワーク・リソースに変更を加え、チームが頼りにしているシャドーITの機能を中断しかねません。

以前は、組織がシャドーITを完全に禁止することでこれらのリスクを軽減しようとすることがよくありました。しかし、ITリーダーはシャドーITを必然的なものとして受け入れることが増え、シャドーITのビジネス上のメリットを重視する人も多くなりました。そのメリットは以下のとおりです。

• ビジネス環境の変化や新しいテクノロジーの進化にチームがより機敏に対応できるようにする
  

• 従業員が自分の仕事に最適なツールを使用できるようになる
  

• 新たなIT資産の調達に必要なコストとリソースを削減し、ITオペレーションを合理化する

これらのメリットを犠牲にすることなくシャドーITのリスクを軽減するために、多くの組織は現在、シャドーITを完全に禁止するのではなく、標準的なITセキュリティー・プロトコルに合わせることを目指しています。そのために、ITチームは、組織のインターネットに接続されたIT資産を継続的に監視し、採用されたシャドーITを検出して特定する攻撃対象領域管理ツールなどのサイバーセキュリティー・テクノロジーを実装することがよくあります。こうすることで、これらのシャドー資産の脆弱性を評価して修正できるようになります。

組織は、クラウド資産セキュリティー・ブローカー（CASB）ソフトウェアを使用することもできます。これにより、従業員と従業員が使用するクラウド資産（既知の資産と未知の資産を含む）との間の安全な接続が保証されます。CASBはシャドウー・クラウド・サービスを検出し、暗号化やアクセス・コントロール・ポリシー、マルウェア検知などのセキュリティー対策の対象にすることができます。